迫于希腊行政令，DeepSeek已在欧盟境内任命DPO

尽管DeepSeek声明其未在欧盟境内提供人工智能服务，但迫于希腊数据保护机构的行政令，DeepSeek最终已经在2025年5月28日通知希腊当局——“我已经在欧盟境内落地任命了维也纳的一家公司作为DPO。”

事情起缘于2025年2月6日，希腊数据保护局正式宣布根据GDPR对在希腊可用的 DeepSeek人工智能APP的合法性展开依职调查。

2025年5月21日，希腊数据保护局调查结束并作出最终决定认为，数据保护局发现杭州 DeepSeek人工智能有限公司根据 GDPR 第 3 条第 2 款 b 项属于其管辖范围，因为尽管该公司在欧盟没有设立机构，但其从事的处理活动与向位于欧盟（特别是希腊）的主体提供服务有关。

在展开的调查过程中，希腊数据保护局向DeepSeek相关负责人提出了一系列问题并要求回答。这些问题兴许都是未来中国企业实体出海或灵魂出海时可能会受到的问询方向，非常值得一阅。

一是希腊数据保护局要求DeepSeek确认其如何确保遵守处理个人数据合法性原则，二是涉及了哪些与希腊用户有关的个人数据相关的处理活动；三是每项处理活动所适用的法律依据以及是否有处理敏感个人数据的例外；四是如何保障用户主体的知情权利，以及如何保障其它数据主体权利；五是数据中心所在情况。

DeepSeek在收到上述监管问询后，他们作了以下一些答复：一是DeepSeek是通过 Deepseek平台提供的开源软件服务，旨在让世界各地的开发者和人工智能爱好者受益于先进的人工智能技术，Deepseek并未提供产品和服务，因此认为Deepseek不属于GDPR的适用范围，故尚未在欧盟内任命代表。然而，Deepseek也表示其愿意接受希腊数据保护局的建议和指导。

这真是充满中国式“智慧”的答复。

二是作为一个新成立的中国人工智能公司，DeepSeek 目前在欧洲经济区 (EEA) 没有任何设施（应当是指服务器部署类）；三是DeepSeek非常重视所有数据保护的业务流程并确保有效遵守GDPR。

需要注意的细节是，希腊数据保护局认为虽然DeepSeek 回答了相应的问题，但是没有提及和对应GDPR的具体条款，比如只简单回复“数据主体的权利请参阅 GDPR 的规定”，包括所采取的安全措施情况也没有与 GDPR条款联系起来（例如没有提到了通报安全事件的义务）。

在检查DeepSeek的隐私政策后，希腊数据保护局认为虽然其英语版隐私政策中“补充条款 - 特定司法管辖区-欧洲经济区（“EEA”）、瑞士和英国”有单设条款，但一没有提及GDPR，二没有提及在欧盟任命代表或在欧盟设有机构，三是该政策不是用希腊语制定的，四是措辞和细节模糊，可能会影响用户的理解。

（希腊数据保护局要求DEEPSEEK任命DPO的行政令）

上述DPO的要求均来源于GDPR。

如果公司在欧盟境内向数据主体提供商品或服务，或按照 GDPR 第 3 条第 2 款规定的市场原则监控其在欧盟境内的行为，但在欧盟境内（即 GDPR 范围内）未设立机构，而是设立在第三国，则该公司必须根据 GDPR 第 27 条第 1 款任命一名欧盟代表。

例外情况仅适用于偶尔处理低敏感度个人数据且不会对自然人的权利和自由造成风险，或公司是公共机构或机构的情况。如果不适用这些例外情况，则法律强制要求指定一名欧盟代表。如果尽管存在上述要求，但仍未指定，主管监督机构可能会对相关公司处以行政罚款。

欧盟代表必须设立于数据处理发生地或数据主体所在地的欧盟成员国之一。根据《GDPR》第 27 条第 1 款，在符合第 3 条第 2 款规定的情况下，控制者或处理者应以书面形式指定欧盟代表。此外，控制者或处理者应明确指定代表并以书面形式指示其行使职权。《GDPR》并未就指定期限、撤销或终止的可能性做出任何进一步的具体规定。

在实践中，欧盟代表的职能可以通过服务合同行使。

该合同应明确规定欧盟代表根据《GDPR》第 27 条所承担的职责、任务和权力。无需向监管机构告知欧盟代表的情况。欧盟代表的姓名应在数据保护信息（《GDPR》第 13、14 条）和处理活动记录中予以列明。数据保护官可以是控制者或处理者的工作人员，也可以根据服务合同履行任务。控制者或处理者应当公布数据保护官的联系方式，并将其传达给监管机构。

当前，当前来看，中国企业一般是委托并任命当地收费型的企业DPO作为欧盟DPO代表。这种任命的成本是显而易见的。因此，大部分中国企业在未受到任何监管压力的情况下，即使知悉其产品可能会面向欧盟用户提供服务，原则上也是不会主动设置DPO的。

在全球数据保护法律体系中，DPO任命要求呈现出明显的差异化特征。GDPR第37条确立了三种强制任命DPO的情形：公共机构、大规模系统性监控个人，以及大规模处理特殊类别数据。然而，各国在具体实施中展现出不同的监管理念和执法重点。

英国在脱欧后制定的UK GDPR基本延续了欧盟标准，但英国信息专员办公室（ICO）更加强调DPO的实际独立性和专业能力。ICO要求DPO必须具备数据保护法律和实践方面的专业知识，并能够独立履行监督职责，避免与其他职务产生利益冲突。

法国国家信息与自由委员会（CNIL）则采取了更为积极的立场，不仅严格执行GDPR要求，还强烈鼓励企业自愿任命DPO。CNIL建立了DPO能力认证体系，为企业提供了明确的专业标准指引。法国法律第57条进一步强化了DPO任命要求，将其视为合规的关键要素。

荷兰数据保护局（AP）实施了更为严格的注册制度，要求所有任命DPO的组织必须向监管机构注册相关信息。目前荷兰约有10,000名注册DPO，这一数字反映了该国对DPO制度的重视程度。

最为引人注目的是马来西亚的全面强制要求。2025年6月1日起生效的《个人数据保护（修订）法案》规定，所有符合条件的（例如，处理超过 20,000 名数据主体的数据，或处理超过 10,000 个敏感数据主体，等）数据控制者和处理者必须至少任命一名DPO，这使马来西亚成为少数几个对所有数据控制者强制要求任命DPO的国家。

相比之下，韩国个人信息保护委员会（PIPC）采取了相对温和的政策，虽然不强制要求任命DPO，但鼓励大型企业和处理敏感信息的组织主动任命，特别是在跨境数据传输和AI应用场景中。

声明：本文来自互联网法律匠，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。